CVE-2022-21497

Oracle Web Services Manager, versões 12.2.1.3.0 a 12.2.1.4.0

O problema está relacionado à validação insuficiente de entradas no componente de segurança de serviços web. Isso permite que um invasor não autenticado, com acesso à rede via HTTP, comprometa o Oracle Web Services Manager, exigindo a interação humana de uma pessoa que não seja o próprio invasor. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos ou de todos os dados acessíveis pelo Oracle Web Services Manager, bem como acesso não autorizado a dados críticos ou acesso completo a todos os dados acessíveis pelo Oracle Web Services Manager. O invasor pode explorar essa vulnerabilidade enviando solicitações HTTP especialmente criadas.

Para as versões 12.2.1.3.0 e 12.2.1.4.0, considere restringir o acesso ao componente Web Services Security até que um patch esteja disponível. Como solução alternativa temporária, limite o uso de solicitações HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.